Fail2ban bannt nicht nach bestimmten Versuchen

  • des kann ja ned sein, bei mir im Controll Panel steht: Fehlgeschlagene Loginversuche: 9 (25.02.2012 23:42:47)


    Zugangsdaten stimmen aber im jail2ban sync

  • das mit vcp hat nichts mit mir zutun,da hat sich jemand 9x versucht in dein VCP einzuloggen


    edit


    in der failregex steht worauf fail2ban reagieren soll das gleichst du nu mal mit deinen logs ab


    failregex = \(\S+\[<HOST>\]\)[: -]+ USER \S+: no such user found from \S+ \[\S+\] to \S+:\S+ *$
    \(\S+\[<HOST>\]\)[: -]+ USER \S+ \(Login failed\): .*$
    \(\S+\[<HOST>\]\)[: -]+ SECURITY VIOLATION: \S+ login attempted\. *$
    \(\S+\[<HOST>\]\)[: -]+ Maximum login attempts \(\d+\) exceeded *$

  • So


    Quote

    Feb 25 23:42:27 v226605.yourvserver.net proftpd[23080] v2201166605.yourvserver.net (kiel-5fl.mediaWays.net[::ffff:95.1.251]): FTP session closed.
    Feb 25 23:42:28 v2206605.yourvserver.net proftpd[23799] v2201166605.yourvserver.net (kiel-5fiaWays.net[::ffff:93.251]): USER hgugzg: no such user found from kWays.net [::ffff:95.151] to ::ffff:78.471
    Feb 25 23:42:29 v22016605.yourvserver.net proftpd[23799] v22011166605.yourvserver.net (et[::ffff:95.3.251]): FTP session closed.



    Aber es muss schon jemand gebannt worden sein:


    2012-02-25 23:42:01,925 fail2ban.actions: WARNING [proftpd] Ban 95.33.251
    2012-02-25 23:42:07,211 fail2ban.actions: WARNING [proftpd] 95.1.251 already banned
    2012-02-25 23:42:12,216 fail2ban.actions: WARNING [proftpd] 95.11.251 already banned
    2012-02-25 23:42:23,227 fail2ban.actions: WARNING [proftpd] 95.11251 already banned
    2012-02-25 23:42:30,234 fail2ban.actions: WARNING [proftpd] 95.11.251 already banned

  • Hab da nur paar Ziffern rausgelöscht hab hier eine Originale:


    Feb 25 23:42:29 v2201111105077605.yourvserver.net proftpd[23776] v2201111105077605.yourvserver.net (kiel.mediaWays.net[::ffff:95.151]): FTP session closed.

  • Ja fertig kannste nochmals testen, es standen wieder 4 fehlgeschlagene Logins drin, irgendwie müsste der Script immer versuchen sich zu verbinden :D


    Gruß

  • Des ist ja mal richtig geil :)


    ich hab hier noch das so hingeschrieben wie du hast


    echo “$1 wurde vom System gebannt.” | mailx -s “Fail2Ban-Warnung” meinemail


    aber der schickt mir keine email zu mir, hab aber noch keinen mailserver auf meinem server installiert liegt das an dem?